# DeerStealer > [!high] Infostealer distribuído via anúncios falsos do Google Authenticator > O DeerStealer é um **infostealer** distribuído pelo grupo **TA2727** através de campanhas de malvertising sofisticadas, notadamente usando anúncios falsos do **Google Authenticator** no próprio Google Ads em 2024. O malware rouba credenciais de navegadores, cookies de sessão, carteiras de criptomoedas e arquivos sensíveis. ## Visão Geral O DeerStealer emergiu no segundo semestre de 2024 como uma nova família de infostealer distribuída pelo grupo [[ta2727]], rastreado pela Proofpoint como um ator de ameaça criminalístico (motivação financeira). O nome deriva das características de código identificadas pelos pesquisadores durante a análise inicial do malware. A campanha de distribuição mais notável explorou uma vulnerabilidade no sistema de verificação de anunciantes do Google Ads: o grupo TA2727 conseguiu públicar anúncios fraudulentos que apareciam nos resultados de busca para termos como "Google Authenticator download", "Authenticator app" e consultas similares. Usuários que clicavam nesses anúncios eram direcionados para sites clonados convincentes que ofereciam downloads do DeerStealer disfarçado de instaladores legítimos do Google Authenticator. Esse vetor de ataque é particularmente insidioso porque visa específicamente usuários que estão tentando aumentar sua segurança - pessoas buscando instalar autenticação de dois fatores acabam instalando malware que roba suas credenciais. A campanha vitimou milhares de usuários em múltiplos países. Para o Brasil, o DeerStealer tem relevância direta: o país tem alta adoção de autenticação de dois fatores em serviços bancários, e a busca por aplicativos de autenticador é comum. Além disso, a campanha de malvertising não discrimina por região - qualquer usuário que faça uma busca relevante pode ser exposto aos anúncios maliciosos. Setores como [[financial]] e usuários corporativos são os alvos de maior valor. ## Análise Técnica ### Cadeia de Distribuição ```mermaid graph TB A["🔍 Busca por 'Google Authenticator'<br/>no Google Search"] --> B["📢 Anúncio Malicioso no Topo<br/>Google Ads fraudulento"] B --> C["🌐 Site Clone Convincente<br/>URL similar ao legítimo"] C --> D["📥 Download do 'Instalador'<br/>Executável assinado com cert. válido"] D --> E["🦌 DeerStealer Executado<br/>Em background durante instalação falsa"] E --> F["🔐 Roubo de Credenciais<br/>Navegadores / Email / Apps"] F --> G["📤 Exfiltração para C2<br/>Dados enviados ao TA2727"] ``` ### Capacidades de Roubo O DeerStealer implementa um conjunto abrangente de capacidades de coleta: | Tipo de Dado | Fonte | Técnica | |-------------|-------|---------| | Senhas salvas | Chrome, Firefox, Edge | T1555.003 | | Cookies de sessão | Todos os navegadores | T1539 | | Histórico de navegação | Todos os navegadores | T1555.003 | | Carteiras crypto | MetaMask, Phantom, outros | T1555 | | Arquivos sensíveis | Desktop, Downloads, Docs | T1005 | | Capturas de tela | Sistema | T1113 | | Tokens Discord | AppData Discord | T1552 | | Sessões Telegram | Dados do app Telegram | T1539 | ### Mecanismo de Evasão ```mermaid graph TB subgraph "Técnicas de Evasão DeerStealer" A["📜 Certificado Digital Válido<br/>Assinatura de código roubada"] --> D["✅ Bypass de Detecção"] B["🎭 Instalação Real do App<br/>Google Authenticator legítimo é instalado"] --> D C["⚡ Execução Efêmera<br/>Coleta rápida, processo curto"] --> D D --> E["📦 Compressão e Criptografia<br/>Dados exfiltrados cifrados"] end ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Malvertising / Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Anúncios fraudulentos no Google Ads | | Credentials from Web Browsers | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de senhas salvas | | Steal Web Session Cookie | [[t1539-steal-web-session-cookie\|T1539]] | Sequestro de sessões autenticadas | | Input Capture | [[t1056-input-capture\|T1056]] | Captura de dados de entrada | | Data from Local System | [[t1005-data-from-local-system\|T1005]] | Coleta de arquivos do sistema | ## Detecção e Defesa ### Indicadores de Comprometimento > [!ioc]- IOCs - DeerStealer (TLP:GREEN) > **Padrão de comportamento:** > - Processo executável fazendo leituras massivas de arquivos de perfil de navegador > - Acesso a `AppData\Local\Google\Chrome\User Data\Default\Login Data` > - Acesso a `AppData\Roaming\Mozilla\Firefox\Profiles\` > - Criação de processo filho por instalador de software > > **Indicadores de rede:** > - Exfiltração de dados para IPs/domínios não relacionados ao software instalado > - Upload em formato ZIP para endpoints não esperados > > **Fontes:** [Proofpoint TA2727 Analysis](https://www.proofpoint.com) · [Malwarebytes DeerStealer](https://www.malwarebytes.com/blog) ### Mitigações 1. **Verificação de URLs**: Sempre verificar que downloads são do site oficial (google.com para apps Google) 2. **Proteção de endpoint**: Regras EDR para detectar leitura de arquivos de banco de dados de senhas de navegadores 3. **Solução CASB/Proxy**: Bloquear downloads de executáveis de domínios suspeitos 4. **Conscientização**: Treinar usuários para desconfiar de anúncios pagos em buscas de software 5. **Gerenciador de senhas**: Usar gerenciador de senhas dedicado (não o nativo do navegador) ## Referências - [Proofpoint - TA2727 Profile](https://www.proofpoint.com/us/blog/threat-insight) - [Malwarebytes - Fake Google Authenticator Campaign](https://www.malwarebytes.com/blog/cybercrime/2024) - [Google Ads Malvertising Analysis](https://www.bleepingcomputer.com/news/security/)